1.
0
ICT Watch – Perkumpulan Mitra TIK Indonesia (Indonesian ICT Partnership)
Jl. Tebet Barat Dalam 6H no.16, Jakarta 12810, Indonesia
P: (021) 98495770 | F: (021) 8292428 | E: info@ictwatch.id | W: ictwatch.id
Internet Safety | Internet Rights | Internet Governance
Kepada Jakarta, 31 Juli 2015
Yth. Menteri Komunikasi dan Informatika
Bapak Rudiantara
di Jakarta
Mengacu pada ajakan untuk menyampaikan tanggapan1
atas Rancangan Peraturan Menteri (RPM)
tentang Perlindungan Data Pribadi dalam Sistem Elektronik2
atau selanjutnya kami sebut RPM Privasi
Digital, maka bersama ini kami dari ICT Watch menyampaikan tanggapan sebagai berikut:
1. PEMBERITAHUAN AWAL KEPADA PEMILIK DATA PRIBADI
Pada bagian kedua, “Perolehan dan Pengumpulan Data Pribadi”, pasal 9 (sembilan)
hendaknya ditambahkan penegasan bahwa: Penyelenggara Sistem Elektronik wajib
memberitahu dengan jelas secara tertulis kepada Pemilik Data Pribadi di awal sebelum
data pribadi dikumpulkan, sebagai berikut:
a. Data pribadi apa saja yang dikumpulkan, baik yang disampaikan secara sadar oleh
pemilik data ataupun diperoleh secara otomatis oleh penyelenggara, termasuk yang
dalam kategori “Persistent Identifier”. Tentang “persistent identifier” ini akan
dijabarkan dalam poin nomor 2 (dua).
b. Data pribadi yang dikumpulkan tersebut apakah bersifat keharusan (obligatory /
mandatory) ataukah kerelaan (voluntary / optional), terkait dengan
penyelenggaraan layanan sistem elektronik terkait. Ini dimaksud agar Pemilik Data
Pribadi bisa memahami dan lantas membatasi data pribadi yang disampaikan
kepada Penyelenggara Sistem Eletronik cukup seperlunya saja.
1
http://kominfo.go.id/index.php/content/detail/5128/Siaran+Pers+No.53-PIH-KOMINFO-07-
2015+tentang+Uji+Publik+Rancangan+Peraturan+Menteri+mengenai+Perlindungan+Data+Pribadi+dalam+Sist
em+Elektronik/0/siaran_pers#.Vbjm1rUt-pQ
2
http://web.kominfo.go.id/sites/default/files/users/1536/RPM%20Perlindungan%20Data%20Pribadi%20dalam%
20SE%20-%2028%20Maret%202015_nando_bersih.pdf

2.
0
ICT Watch – Perkumpulan Mitra TIK Indonesia (Indonesian ICT Partnership)
Jl. Tebet Barat Dalam 6H no.16, Jakarta 12810, Indonesia
P: (021) 98495770 | F: (021) 8292428 | E: info@ictwatch.id | W: ictwatch.id
Internet Safety | Internet Rights | Internet Governance
c. Tujuan selengkapnya dari pengumpulan data pribadi terkait dengan
penyelenggaraan sistem elektronik yang dikelola oleh Penyelenggara Sistem
Elektronik, termasuk rencana penggunaan kedepannya.
d. Bahwa Pemilik Data Pribadi memiliki hak untuk mengakses data pribadi miliknya
yang telah dikumpulkan oleh Penyelenggara Sistem Elektronik, termasuk untuk
melakukan perbaikan (correction) atas data tersebut.
e. Bahwa Pemilik Data Pribadi memiliki hak untuk meminta pemusnahan data pribadi
yang disimpan oleh Penyelenggara Sistem Eletronik jika pemilik data tersebut telah
menyatakan berhenti dan/atau tidak lagi menggunakan layanan sistem elektronik
yang dikelola penyelenggara.
f. Narahubung (contact person) yang jelas dari Penyelenggara Sistem Elektronik yang
dapat dihubungi dengan mudah oleh Pemilik data Pribadi, terkait dengan sejumlah
hal di atas.
2. PENGIDENTIFIKASI yang PERSISTEN (PERSISTENT IDENTIFIER)
Persistent Identifier adalah sebuah referensi / rujukan secara berterusan atau dalam rentang
waktu lama, yang merujuk pada obyek digital tertentu3
, dan kemudian dapat digunakan
untuk mengenali seseorang atau pengguna Internet dari waktu ke waktu dan di sejumlah
situs yang berbeda4
. Persistent identifier tersebut semisal: browser cookie5
, alamat Internet
Protocol (IP), nomor unik seri prosesor atau perangkat (gadget). Persistent identifier ini
dewasa ini kemudian masuk dalam kategori “data pribadi” yang harus dilindungi6
.
3. PEMBATASAN USIA MINIMUM
Atas nama kepentingan dan perlindungan anak Indonesia di Internet, maka perlu ada
kewajiban atas pembatasan usia minimum Pemilik Data Pribadi yang data pribadi miliknya
dapat dan/atau boleh dikumpulkan oleh Penyelenggara Sistem Elektronik secara langsung.
Usia tersebut haruslah mengacu ke UU Perlindungan Anak7
, yaitu 18 (delapan belas) tahun.
3
http://www.ariadne.ac.uk/issue56/tonkin
4
https://www.ftc.gov/system/files/documents/plain-language/BUS84-coppa-6-steps.pdf
5
https://en.wikipedia.org/wiki/HTTP_cookie
6
http://www.aeforum.org/gallery/5248813.pdf
7
http://www.kpai.go.id/files/2013/09/uu-nomor-35-tahun-2014-tentang-perubahan-uu-pa.pdf

3.
0
ICT Watch – Perkumpulan Mitra TIK Indonesia (Indonesian ICT Partnership)
Jl. Tebet Barat Dalam 6H no.16, Jakarta 12810, Indonesia
P: (021) 98495770 | F: (021) 8292428 | E: info@ictwatch.id | W: ictwatch.id
Internet Safety | Internet Rights | Internet Governance
Menurut UU tersebut, yang disebut sebagai “anak” adalah seseorang yang belum berusia 18
tahun. Dengan demikian penyelenggara Sistem Elektronik berkewajiban untuk tidak
meminta dan/atau mengumpulkan data pribadi dari anak, tanpa sepengetahuan dan
pendampingan dari orangtua ataupun wali anak yang sah dan legal.
Hal serupa telah diatur pula di Korea, yang membatasi pada usia 14 (empat belas) tahun ke
bawah sebagai kategori “anak” yang harus mendapatkan dampingan atau sepengetahuan
orang tua ketika memberikan data pribadinya8
. Adapun Amerika, batasannya adalah pada
usia 13 (tiga belas) tahun9
.
Adapun The Organisation for Economic Co-operation and Development (OECD) yang
beranggotakan 34 negara, dalam rekomendasinya tentang The Protection of Children
Online10
, menyebutkan bahwa anak-anak dapat mengungkapkan data pribadi mereka karena
mereka tidak menyadari lingkup atau maraknya pengguna Internet, dan juga karena mereka
gagal untuk mempertimbangkan secara masak-masak konsekuensi potensial atas
pengungkapan data pribadi tersebut. OECD juga menyepakati batasan usia anak adalah
mereka yang usianya belum mencapai 18 (delapan belas) tahun.
Di dalam UU Perlindungan Privasi Online Anak yang dilansir oleh Amerika dan kemudian
diamandemen pada 201211
, disebutkan bahwa data pribadi anak termasuk didalamnya
adalah hal yang terkait dengan username, foto/video/audio yang mengandung gambar atau
suara anak, informasi geo location yang bisa mengidentifikasi nama jalan dan kota, serta
khususnya yang terkait pula dengan “persistent identifier”
4. DURASI PENYIMPANAN DATA PRIBADI
Pada bagian ketiga, “Penyimpanan Data Pribadi”, pasal 15 (lima belas) dan 16 (enam belas)
perlu disesuaikan sebagai berikut:
8
http://koreanlii.or.kr/w/images/0/0e/KoreanDPAct2011.pdf
9
http://www.coppa.org/coppa.htm
10
http://www.oecd.org/sti/ieconomy/childrenonline_with_cover.pdf
11
https://www.ftc.gov/tips-advice/business-center/guidance/complying-coppa-frequently-asked-questions

4.
0
ICT Watch – Perkumpulan Mitra TIK Indonesia (Indonesian ICT Partnership)
Jl. Tebet Barat Dalam 6H no.16, Jakarta 12810, Indonesia
P: (021) 98495770 | F: (021) 8292428 | E: info@ictwatch.id | W: ictwatch.id
Internet Safety | Internet Rights | Internet Governance
a. Ditambahkan kewajiban kepada Penyelenggara Sistem Elektronik bahwa durasi /
masa penyimpanan data pribadi hendaknya tidak melebihi dari tujuan awal
perolehan dan pengumpulan yang telah diberitahukan kepada Pemilik Data Pribadi
saat pertama kali data tersebut dikumpulkan, kecuali jika dilakukan sesuai dengan
ketentuan peraturan perundang-undangan yang berlaku di Indonesia.
b. Perlu dijelaskan relevansi, tujuan dan rencana penggunaan data pribadi yang
dikumpulkan terkait dengan masa / durasi penyimpanan data pribadi sebagaimana
tertulis “paling singkat 5 (lima) tahun”. Penjelasan tersebut juga hendaknya
mencakup alasan yang jelas dan logis terkait dasar penentuan atas masa / durasi 5
(lima) tahun tersebut.
5. LAINNYA
A). KEWAJIBAN YANG SETARA
Perlu ada pengenaan kewajiban dan tindakan yang setara (equal treatment) antara
Penyelenggara Sistem Elektronik yang dikelola oleh/di dalam negeri dengan yang
luar negeri / multinasional / global, terkait dengan (rancangan) peraturan menteri
privasi digital ini. Termasuk juga kebijakan, prosedur dan mekanisme dalam konteks
perlindungan data pribadi milik rakyat Indonesia, jika pentransmisian dan/atau
penggunaan data pribadi tersebut menuju dan/atau dilakukan ke/oleh
Penyelenggara Sistem Elektronik yang badan hukum pendirian dan/atau kebijakan
operasionalnya, baik keseluruhan ataupun sebagian, tidak merujuk dan/atau tunduk
pada pada hukum Indonesia yang berlaku.
B). PEMBATASAN UNTUK DIRECT MARKETING
Perlu diwajibkan bagi Penyelenggara Sistem Elektronik tidak mentransmisikan,
memindahkan, menyalin data pribadi yang diperoleh atau dikumpulkannya ke pihak
siapapun dan dimanapun untuk keperluan direct marketing12
, tanpa sepengetahuan
dan sebelumnya mendapatkan persetujuan dari Pemilik Data Pribadi.
12
https://en.wikipedia.org/wiki/Direct_marketing

5.
0
ICT Watch – Perkumpulan Mitra TIK Indonesia (Indonesian ICT Partnership)
Jl. Tebet Barat Dalam 6H no.16, Jakarta 12810, Indonesia
P: (021) 98495770 | F: (021) 8292428 | E: info@ictwatch.id | W: ictwatch.id
Internet Safety | Internet Rights | Internet Governance
C). KEPASTIAN DAN JAMINAN KEAMANAN
Perlu adanya jaminan keamanan dari Penyelenggara Sistem Elektronik untuk:
I. Memastikan proses pengumpulan, pengolahan dan/atau
pentransmisian data pribadi terlindungi dari kemungkinan
penyadapan dan/atau intersepsi yang illegal. Untuk itu maka harus
diwajibkan Penyelegggara Sistem Elektronik dalam konteks
perlindungan data pribadi, untuk menggunakan teknologi enkripsi
yang teruji dan terbaharui mengacu pada standar yang berlaku
II. Memastikan ada mekanisme pengaduan dari Pemilik Data Pribadi
kepada Penyelenggara Sistem Elektronik untuk melaporkan adanya
indikasi kebocoran atau penyalahgunaan data pribadi.
Penyelenggara Sistem Elektronik juga harus menyampaikan
pemberitahuan kepada Pemilik Data Pribadi, jika data pribadi terkait
ternyata diketahui mengalami kebocoran, diintersepsi secara illegal
atau disalahgunakan dalam bentuk apapun dan oleh siapapun.
Demikian tanggapan ini kami sampaikan. Terimakasih atas perhatiannya,
Hormat kami,
Donny B.U.
Direktur Eksekutif - ICT Watch
Tembusan:
- Dirjen Aplikasi Telematika, Kemkominfo
- Kepala Pusat Informasi & Humas, Kemkominfo
- Arsip online ICT Watch